Дослідники з компанії Soluble
Класична підміна через зовні подібний IDN-домен давно блокується в браузерах та реєстраторах завдяки забороні змішування символів з різних алфавітів. Наприклад, підставний домен аpple.com ("xn--pple-43d.com") не вдасться створити шляхом заміни латинської "a" (U+0061) на кириличну "а" (U+0430), оскільки змішування в домені букв із різних алфавітів не допускається. У 2017 році був
Тепер знайдено ще один метод обходу захисту, заснований на тому, що реєстратори блокують змішування латиниці та Unicode, але якщо вказані в домені Unicode-символи відносяться до групи латинських символів, таке змішування допускається, оскільки символи належать до одного алфавіту. Проблема в тому, що у розширенні
символ «
Можливість реєстрації доменів, в яких латиниця поєднується із зазначеними Unicode символами, була виявлена у реєстратора Verisign (інші реєстратори не перевірялися), а піддомени вдалося створити в сервісах Amazon, Google, Wasabi та DigitalOcean. Проблема була знайдена в листопаді минулого року і, незважаючи на надіслані повідомлення, через три місяці в останній момент була усунена тільки в Amazon та Verisign.
В ході експерименту дослідники витративши 400 доларів зареєстрували у Verisign наступні домени:
- amɑzon.com
- chɑse.com
- sɑlesforce.com
- ɡmɑil.com
- ɑppɩe.com
- ebɑy.com
- ɡstatic.com
- steɑmpowered.com
- theɡguardian.com
- theverɡe.com
- Washinɡtonpost.com
- pɑypɑɩ.com
- wɑlmɑrt.com
- wɑsɑbisys.com
- yɑhoo.com
- cɩoudfɩare.com
- deɩɩ.com
- gmɑiɩ.com
- gooɡleapis.com
- huffinɡtonpost.com
- instaɡram.com
- microsoftonɩine.com
- ɑmɑzonɑws.com
- ɑdroid.com
- netfɩix.com
- nvidiɑ.com
- ɡoogɩe.com
Дослідники також запустили
Актуальні браузери Chrome і Firefox відображають подібні домени в адресному рядку в нотації з префіксом "xn--", проте в посиланнях домени виглядають без перетворення, що можна використовувати для вставки на сторінки шкідливих ресурсів або посилань, під виглядом їх завантаження з легітимних сайтів . Наприклад, на одному з виявлених доменів з омогліфами було зафіксовано поширення шкідливого варіанта бібліотеки jQuery.
Джерело: opennet.ru